Если мы проанализируем инцидент с CardSystem
Solutions, основываясь на тех данных, что стали доступны средствам
массовой информации, то обнаружим в этой истории несколько
«странностей»...
Программа-шпион, которая якобы была обнаружена в сети CardSystem
Solutions, до сих пор не попала в руки антивирусных компаний. В
аналогичной ситуации с троянцем Hotworld экземпляры вредоносной
программы были в течение двух дней после обнаружения добавлены в базы
практически всех антивирусных программ.
Подобный троянец, очевидно, не был клавиатурным шпионом — вряд ли 40
миллионов номеров кредитных карт вводились вручную с клавиатуры
зараженного компьютера.
Чтобы получить доступ к базе данных, где хранились номера карт, троянец
должен был быть создан с учетом формата этой базы данных.
Неясен способ, при помощи которого украденная информация выводилась за пределы CardSystem Solutions.
На самом деле, за всеми громкими кражами данных в этом году видно новое
лицо киберпреступности. Преступности нового уровня. Это люди, которые
готовы потратить десятки тысяч долларов на получение «инсайдерской»
информации об атакуемом объекте. Это люди, обладающие знаниями и
способами обхода многоуровневых систем защиты от вторжений. Это люди,
которые не продают ни троянские программы по 10 долларов за штуку, ни
украденные с их помощью данные через общедоступные (хоть и считающиеся
«андерграундными») форумы и сайты.
В последнее время мы все чаще и чаще слышим о подобных взломах — их
стало больше, гораздо больше чем раньше. И больше их стало именно
потому, что первые попытки подобных атак увенчались успехом. Очевидно,
что инфраструктура безопасности крупных финансовых институтов наиболее
уязвима. Множество компьютеров, разнородные сети и права доступа,
множество сотрудников — все это является дополнительными факторами,
облегчающими задачу злоумышленникам. В крупной сети зачастую невозможно
найти даже известный документ, не говоря уж об обнаружении троянской
программы, искусно маскирующей свое присутствие в системе.
Не стоит забывать и об уникальности подобных троянцев. Для них
практически невозможно создать эвристические методы детектирования, а
разовость их применения дает им шанс никогда не попасть в антивирусные
базы — в отличие от червей, расходящихся по миру миллионами копий.
Таким образом, можно сделать вывод о постепенном изменении вектора атак
с конечных пользователей в сторону непосредственных владельцев и
держателей интересующей преступников информации.
Анализ
Хотя прозвучавшее в статье заявление о невозможности применения
клавиатурных шпионов видится сомнительным (для хищения номеров
кредитных карт достаточно перехваченного с помощью такой программы
имени пользователя и пароля для доступа к базе данных), проблема
троянских программ, червей и хищения конфиденциальной информации на
сегодняшний день стоит крайне остро.
Действительно, существующие способы проникновения вредоносных кодов на
пользовательский компьютер очень разнообразны, и каждый день мы слышим
об обнаружении новых уязвимостей. Работа по латанию обнаруженных дыр
бесконечна и не дает 100% гарантии безопасности в силу реактивности
применяемого метода.
Гораздо более эффективным методом борьбы с утечками информации является
контроль исполняемых файлов и доступа к устройствам локального
ввода/вывода информации.
Решение проблемы
Решение Эффективность защиты* Принцип предотвращения угрозы Особенности решения
Контроль исполняемых файлов 99% Па компьютере пользователя запускаются
только разрешенные исполняемые файлы Для разрешенных к исполнению
файлов создается MD5 хэш, что исключает возможность подмены легитимного
файла аналогичным, но содержащим вредоносный код, даже при полном
соответствии размера, имени, даты создания и прочих параметров
Контроль устройств ввода/вывода 95% Гибкое разграничение полномочий на
права пользования устройствами ввода/вывода информации (FDD, CD/DVD-RW,
USB и т.д.) Средство контроля позволяет не только выдавать разрешения
на использование устройств, но и контролировать содержимое копируемых
файлов. Таким образом, злоумышленник не может маскировать секретную
информацию, вводя в заблуждение службу безопасности.
* - указанная эффективность защиты базируется на практическом опыте применения решений специалистами компании БМС Консалтинг
По вопросам информационной безопасности обращайтесь в отдел Информационной Безопасности компании «БМС Консалтинг»:
|